二三级等保所需设备

1、二级等保建议功能或模块建议方案或产品重要程度主要依据安全层面二级分项边界防火墙非常重要网络安全访问控制(G2)入侵检测系统(模块)非常重要网络安全入侵防范(G2)WEB应用防火墙(模块)重要应用安全软件容错(A2)网络安全安全审计(G2)日志审计系统syslog月艮务器非常重要主机安全安全审计(G2)运维审计系统序号(堡垒机)_般网络安全网络设备防护(G2)6备注权重二级测评指标a）应在网络边界部署访问控制设备，启用访问控制1功能；b）应能根据会话状态信息为数据流提供明确的允许1/拒绝访问的能力，控制粒度为网段级。应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、

2、缓冲区溢1出攻击、IP碎片攻击和网络蠕虫攻击等部分老旧应用无相关校验功能，可由WEB应用防火墙对应用请求进行合法性过滤a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系1统设定要求；a）应对网络系统中的网络设备运行状况、网络流量、1用户行为等进行日志记录；b）审计记录应包括事件的日期和时间、用户、事件0.5类型、事件是否成功及其他与审计相关的信息。c）应保护审计记录，避免受到未预期的删除、修改0.5或覆盖等。部分网络设备不支持口令复杂d）身份鉴别信息应具有不易被冒用的特点，口令应1度策略与更换策略，需要第三有复杂度要求并定期更换；方运维管理工具实现。数据

3、库审计重要主机安全安全审计（G2）a）审计范围应覆盖到服务器上的每个操作系统用户1和数据库用户；21应能够对内部网络中出现的内部用户未通过准许私通过终端管理软件限制终端多网络安全边界完整性检查（S2）1终端管理软件自联到外部网络的行为进行检查。网卡情况7（补丁分发系统）重要操作系统应遵循最小安装的原则，仅安装需要的组可通过终端管理软件统一分发主机安全入侵防范（G2）件和应用程序，并通过设置升级服务器等方式保持1系统补丁及时得到更新。a）应安装防恶意代码软件，并及时更新防恶意代码1软件版本和恶意代码库补丁8企业版杀毒软件重要主机安全恶意代码防范（G2）b）应支持防恶意代码的统一管理。1数据管理9

4、本地备份方案重要安全备份和恢复（A2）a）应能够对重要信息进行备份和恢复；0.5三级等保边界防火墙与区域防火墙（带宽管理模块）非常重要网络安全访问控制（G3）a）应在网络边界部署访问控制设备，启用访问控0.5制功能；b）应能根据会话状态信息为数据流提供明确的主要依据备注序号建议功能或模块建议方案或产品重要程度安全层面三级分项三级测评指标权重允许/拒绝访问的能力，控制粒度为端口级；网络安全结构安全(G3)2入侵防护系统非常重要网络安全入侵防范(G3)网络安全访问控制(G3)3防病毒网关重要网络安全恶意代码防范(G3)WEB应用防火墙数据管理安全数据完整性(S3)(或防篡改)重要应用安全软件容错(

5、A3)4f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采0.5取可靠的技术隔离手段；g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保0.5护重要主机。a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、1缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间等，在发生严重入侵事0.5件时应提供报警，及时进行处置。（落实）c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNETsSMTP、POP3等协议命1令级的控

6、制；a）应在网络边界处对恶意代码进行检测和清除1b）应维护恶意代码库的升级和检测系统的更新。0.5a）应能够检测到系统管理数据、鉴别信息和重协议校验、防篡改等功能部分老旧应用无相关校验功能，可由WEB应用防火墙对应用请求进行合法性过滤要业务数据在传输过程中完整性受到破坏，并在0.2检测到完整性错误时采取必要的恢复措施；a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长1度符合系统设定要求；网络安全边界完整性检查(S3)终端管理软件5(补丁分发系统)重要主机安全入侵防范(G3)6企业版杀毒软件非常重要主机安全恶意代码防范(G3)7网络准入系统重要网络安全边界完整性

7、检查(S3)8日志审计系统非常重要网络安全安全审计(G3)主机安全安全审计(G3)通过终端管理软件限制终端多网卡情况可通过终端管理软件统一分发补丁b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效1阻断。C）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方0.5式保持系统补丁及时得到更新。a）应安装防恶意代码软件，并及时更新防恶意代1码软件版本和恶意代码库；b）主机防恶意代码产品应具有与网络防恶意代0.5码产品不同的恶意代码库；c）应支持防恶意代码的统一管理。0.5a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出

8、位置，并对其进行有效阻1断；a）应对网络系统中的网络设备运行状况、网络流1量、用户行为等进行日志记录；b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信0.5息。c）应能够根据记录数据进行分析，并生成审计报1表；d）应对审计记录进行保护，避免受到未预期的删0.5除、修改或覆盖等e）应保护审计进程，避免受到未预期的中断；0.59数据库审计重要主机安全安全审计(G3)网络安全网络设备防护(G3)10运维审计系统(堡垒机)重要主机安全访问控制(S3)11网络管理系统重要主机安全资源控制(A3)12异地备份方案数据管理重要备份和恢复(A3)安全部分网络设备不支持双因子认证、口令复杂度策略与更换策略，需要第三方运维管理工具实现。通过SNMP等协议统一监控各层面设备资源的系统a）审计范围应覆盖到服务器和重要客户端上的1每个操作系统用户和数据库用户；d）主要网络设备应对同一用户选择两种或两种1以上组合的鉴别技术来进行身份鉴别；e）身份鉴别信息应具有不易被冒用的特点，口令1应有复杂度要求并定期更换；b）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权0.5限；c）应对重要服务器进行监视，包括监视服务器的